Amazon Detective が、IP アドレス分析を強化しました。
https://aws.amazon.com/jp/about-aws/whats-new/2021/01/amazon-detective-enhances-ip-address-analytics/

今回は、そもそもAmazon Detectiveとはどんなサービスなのか、どのようなケースで活用できるのかも含めてお伝えしていきます!

■Amazon Detectiveとは

Amazon Detective(以下、Detective)は、Detective = 探偵という意味通り、AWS上の探偵的な役割を担うサービスです。
VPC Flow Logs、CloudTrail、GuardDuty などの他のAWSサービスの情報をインプットに、潜在的なセキュリティ問題や不信なアクティビティを分析、調査できるサービスです。一般公開は2020年4月とまだ新しいサービスです。

■GuardDutyとの違い

GuardDutyは発生したセキュリティイベントを検知するため、発生したイベントベースでの調査を行い、修正箇所を特定します。
Detectiveでは過去のログやイベント情報をといった時系列の観点を含み、グラフ等で視覚化することが可能です。
GuardDutyとは目的が異なるため、両方共に有効にすることが大切です。

■利用するための前提条件

サポートされているCLIはversion 1.16.303以上。
Amazon Detectiveを有効化するAWSアカウントで、Amazon GuardDutyを有効化してから48時間以上経過している必要があります。
詳細はこちらをご確認ください。

■有効化するには

事前にデータソースを統合したり、複雑な設定を維持したりする必要がなく、とても簡単に有効化できます。
(1)AWSマネジメントコンソールからAmazon Detectiveサービスへ移動し、「Get started」 をクリックします。

(2)Amazon Detective を有効にします。
画面下に表示されている IAM ポリシーを必要に応じてユーザ、およびロールに付与してください。
今回のテスト環境では Administrator権限があるため、そのまま 「Enable Amazon Detective」 をクリックします。

(3)有効化してしばらくたつとデータが収集され、Summaryに表示されるようになります。
APIコールの状況やEC2の稼働状況、その他地域別にも確認が可能です。

■メンバーアカウントを招待するには

有効化したアカウントをマスターアカウントとして、メンバーアカウントを招待し、セキュリティ情報の分析データを集約することもできます。

(1)アカウントを招待する場合は「Invite individual accounts」をクリックします。

(2)招待するアカウントのAWSアカウントIDまたはEメールアドレスを入力し、「Add Acount」をクリックします。

■利用料金について

Amazon Detective の料金は、AWS CloudTrail、VPC Flow Logs、および Amazon GuardDuty の結果から取り込まれたデータ量に対してかかります。分析のためにログソースを有効にしたり、保存されたデータを有効にしたりするのに追加料金はかかりません。また、30日間の無料トライアルも利用できます。

詳細はこちらをご確認ください。

■このアップデートでできるようになったこと

今までもDetectiveではIP アドレス分析が可能でした。
アップデートにより、「IPアドレスが自分のアカウントのリソースとどのくらいの時間相互作用しているか?」、「IP アドレスはどの EC2 インスタンスと通信していたか?」、「IPアドレスと交換されたデータボリュームはどれであり、通信が行われたポートはどれか?」、「どのユーザーとロールがIPアドレスからAPI操作を呼び出したか?」等の詳細がわかるようになっています。

■まとめ

Amazon Detectiveを利用することで、セキュリティの脅威に対する根本的な原因の調査や分析が簡単に行えるようになります。
また他のアカウントを招待することで、一括管理も可能です。

AWSを利用しているが、セキュリティについて十分に対策が取れているかご不安がございましたら、ぜひSunnyCloudまでご相談ください!